チャットボットのセキュリティ対策例。リスクを把握して適した対応を
チャットボットを安全に活用するためには、セキュリティ対策が欠かせません。まずは、どのようなリスクがあるのかという点と、リスクへの対策方法を紹介します。セキュリティ上の心配をなくし、チャットボットの導入を検討しましょう。
チャットボットのセキュリティ対策
お客様と直接やり取りをするチャットボットは、個人情報を収集することもあります。そのため、万全のセキュリティ対策が必要です。
チャットボットのタイプごとに異なる安全性の違いや、サポート体制を確認することの大切さについて紹介します。
ツール選びでセキュリティは重要なポイント
便利なツールは高い機能性がありますが、同時にリスクもあることがほとんどです。チャットボットの場合には、『セキュリティ上のリスク』が挙げられます。
例えば、チャットボットのなりすましにより、ユーザーが悪質なリンクへ誘導されてしまうことや、グループチャット内にチャットボットが入り込み機密情報を盗み取ることがあります。
このようなリスクを最小限にするため、チャットボットを導入するときには、どのようなセキュリティ対策が実施されているかを確認しましょう。
自社のセキュリティチェックシートを、チャットボットのサービス提供元へ送付し事前に確認してもらうと、基準に合ったセキュリティ対策が可能か分かります。
チャットボットのタイプと安全性
チャットボットは導入方法で『クラウド型』と『オンプレミス型』に分けられます。
クラウド型は、サービス提供元に設置されたサーバーを利用します。システム構築までの期間が短く、利用するときもブラウザー上でログインすれば使用可能です。
他社と同じサーバーを使用するため、セキュリティ面が不安という意見もあります。しかし、スペシャリストが在籍していることもあり、企業によっては自社で用意するよりも確かな対策ができる場合もあります。
一方、オンプレミス型では、自社にサーバーを設置し、システムを構築します。セキュリティの独自基準がある企業では、こちらが好まれる傾向です。高額ですが、サポートが充実しています。
サポート体制も確認しておきたい
万が一、チャットボットに不正アクセスといった攻撃が行われた場合、どのような『サポート体制』が敷かれているかもポイントです。
例えば、専門の技術者によって、24時間体制で監視が行われている場合、スピーディーな対応が期待できるでしょう。不正アクセスを常に遮断する仕組みの有無も、セキュリティ対策の充実度に結び付きます。
また、サポート体制の利用がオプションかも確認しましょう。追加料金を支払わないと、サポートを受けられないことがあるからです。自社で対応できることとできないことを把握した上で、必要なサポートを受けられるプランで契約しましょう。
特にセキュリティ対策が重視される場面
技術の進歩により、チャットボットを活用するシーンが増えています。より高度な仕事をチャットボットに任せられるようになった反面、セキュリティ対策の重要性が高まっています。
リモートワークでの活用の場面
社会情勢の変化に伴い、リモートワークが促進されています。リモートワークは、時間や場所の制約がありません。そのような働き方に対応するために、24時間いつでも問い合わせができるチャットボットが役立ちます。
社員がいつ・どこからでもアクセスする可能性があることは、アクセスをきちんと管理できるセキュリティレベルでなければ、何かしら問題が発生することや、原因究明ができないことも考えられます。
そのため、IPアドレスでアクセスの管理ができるような、高いセキュリティレベルのチャットボットの導入が望ましいでしょう。
RPA連携で個人情報を入力させる場面
RPA(Robotic Process Automation)というのは、定型化した作業をプログラミングロボットによって自動化するシステムです。このシステムとチャットボットを連携させる『RPA連携』を利用するシーンが増えています。
例えば、住所変更の手続きや、保険金の請求などに、RPA連携は使われています。会話をするように必要事項をチャットボットに入力するだけで手続きが完了するため、ユーザーは手軽で便利に利用できます。
ただし、住所・電話番号・身分証明書の画像・保険証券番号などの個人情報を入力するため、情報漏えいへの取り組みがされたセキュリティレベルが堅固なシステムを導入することが求められます。
閲覧制限や通信データを守る対策の例
では、具体的に、どのような対策方法があるのでしょうか?セキュリティ対策の具体例を紹介します。
Basic認証と接続制限の併用
まず挙げられるのは、『Basic認証と接続制限』を併用して対策する方法です。Basic認証では、Webサイトにアクセス制限をかけて、IDとパスワードの入力を求めます。
例えば、社内のポータルサイトにチャットボットを設置するため、社外からのアクセスを拒否したいという場合や、特定のメンバーだけでチャットボットを使用したいというときに使用できる方法です。
接続制限には、特定のIPアドレスからのみ閲覧できるよう設定する方法があります。他のIPアドレスからアクセスできないようにすることで、セキュリティ対策をする方法です。
SSL通信による暗号化
万が一、不正アクセスがされても情報が漏れないように対策する方法もあります。ブラウザーとサーバー間の通信を暗号化することで、盗聴やなりすましなどを防ぐ『SSL通信』が代表的です。
SSL通信を採用していれば、不正アクセスがあったとしても、内容が暗号化されているため、中身の情報を知ることはできません。個人情報という重要な内容を入力することもあるチャットボットだからこそ、必要な機能です。
XSSやCSRFなどへの防御
ユーザーが情報入力をしてページを生成するサイトやサービスの脆弱性や、その脆弱性を狙う攻撃のことを『XSS(クロスサイト・スクリプティング)』といいます。
XSSの攻撃により、入力フォームから不正なスクリプトをURLとして埋め込まれるかもしれません。そして、誤ってURLをクリックすると、情報が漏れることがあるのです。Webサイトへの攻撃に対応できる『WAF(ウェブアプリケーション・ファイアウォール/ワフ)』の導入で、セキュリティ対策ができます。
また、『CSRF(クロスサイト・リクエスト・フォージェリ)』はリクエスト強要といい、決済や退会といった重要な処理を呼び出そうとユーザーを誘導する攻撃のことです。CSRF対策には、アプリケーションとブラウザー間で照合情報をやり取りする方法や、照合情報をフォームへ自動的に埋め込むアプリケーションフレームワークが役立ちます。
安全なID連携
ID連携を安全にすることも大切です。例えば、アプリやサイトへログインするために、GoogleやFacebookなどの認証IDを利用する『OpenID Connect』では、IDトークンを使用することで、アプリやサイトへ個人情報が漏れることを防いでいます。
トークン自体も暗号化するシステムだと、さらにOpenID Connectを安全に実施可能です。
また、『SAML(Security Assertion Markup Language)』は、異なるサービスに一括でログインするシングルサインオンを実現するための標準規格のことをいいます。単にログインの手間を省くだけでなく、属性情報をユーザー認証に付与することでアクセス制限も可能です。
LINE連携とセキュリティ対策
LINEで使用するチャットボットもあります。日頃、友人と行うメッセージのやり取りと同じ使用方法のため、気軽に使えるのがメリットです。LINE連携では、どのようなセキュリティ対策を実施しているのでしょうか?
Messaging APIとは
企業とユーザーが、双方向のコミュニケーションを実施するためには『Messaging API』という機能が必要です。
Messaging APIを利用すれば、友だち登録をしたユーザーにメッセージを送れます。1対1のやり取りだけではなく、グループに追加されていれば、グループ内でメッセージを送ることも可能です。
サーバーやトークン有効期限設定が可能
Messaging APIの呼び出しには、チャネルアクセストークンを使用します。トークンとは、IDやパスワードなどの認証情報が漏れないよう、対策した認証方法です。
LINEで使用するチャネルアクセストークンの場合は、『有効期限を設定できる』という特徴があります。30日間有効の短期や、有効期限のない長期の他に、任意の有効期限を設定できます。また、JSON Web Tokenの利用で、セキュリティの強化も可能です。
さらにLINE Developersコンソールの、セキュリティ設定タブから、Messaging APIを呼び出せるサーバーを設定することで、セキュリティ対策をより強固にできるのです。
まとめ
チャットボットを導入するときには、セキュリティ対策を実施することが大切です。技術の進歩や働き方の変化により、チャットボットに大切な個人情報を入力することも増えています。
ユーザーの情報が漏れないよう、不正アクセスを防ぐことや、情報を暗号化することが大切です。同時に、XSSやCSRFへの対策も行いましょう。
セキュリティ体制を整えることで、ユーザーの利便性アップに役立つチャットボットを安全に導入可能です。